Skip to main content

Security, Identity, & Compliance

หมวดหมู่ Security รวม services ที่ช่วยปกป้อง AWS resources จัดการ identity, encryption, compliance และ threat detection

AWS IAM (Identity and Access Management)

คืออะไร: จัดการ users, roles และ permissions บน AWS ควบคุมว่าใครทำอะไรกับ resource ไหนได้บ้าง

ราคา:

  • ฟรีทั้งหมด

เหมาะสำหรับ:

  • ทุก AWS account (บังคับใช้)
  • Least privilege access control
  • Service-to-service authorization (IAM Roles)

Use Case ตัวอย่าง:

Developer ในทีมได้ IAM User ที่มี permission แค่ที่ต้องใช้จริง: dev ได้ read/write S3 dev bucket แต่ไม่สามารถเข้า production resources ได้เลย

AWS KMS (Key Management Service)

คืออะไร: จัดการ encryption keys สำหรับเข้ารหัสข้อมูล integrate กับ AWS services อื่นๆ ได้ทันที

ราคา:

  • Customer managed key: $1/key/เดือน
  • API calls: $0.03/10,000 requests
  • AWS managed key: ฟรี

เหมาะสำหรับ:

  • Encrypt S3 objects, RDS databases, EBS volumes
  • Compliance ด้านการเข้ารหัสข้อมูล
  • Key rotation อัตโนมัติ

Use Case ตัวอย่าง:

ระบบ healthcare เข้ารหัส patient data ทั้งหมดใน RDS และ S3 ด้วย KMS customer managed key ทำให้ผ่าน HIPAA compliance ได้ และสามารถ audit ทุก key usage ได้

AWS WAF (Web Application Firewall)

คืออะไร: กรอง HTTP/HTTPS requests ที่เข้ามาหา application ป้องกัน OWASP Top 10 vulnerabilities

ราคา:

  • Web ACL: $5/เดือน
  • Rule: $1/rule/เดือน
  • Requests: $0.60/million requests
  • Managed Rules: $5-$20/rule group/เดือน

เหมาะสำหรับ:

  • ป้องกัน SQL injection, XSS
  • Block specific IPs หรือ countries
  • Rate limiting

Use Case ตัวอย่าง:

เว็บ e-commerce ใช้ WAF + AWS Managed Rules ป้องกัน SQL injection และ bot attacks โดยไม่ต้องเขียน rules เอง พบว่า block malicious requests ได้กว่า 10,000 ครั้ง/วัน

AWS Shield

คืออะไร: ป้องกัน DDoS (Distributed Denial of Service) attacks โดยอัตโนมัติ มีทั้ง Standard (ฟรี) และ Advanced (จ่ายเงิน)

ราคา:

  • Shield Standard: ฟรี (ทุก AWS account ได้อัตโนมัติ)
  • Shield Advanced: $3,000/เดือน พร้อม DDoS cost protection

เหมาะสำหรับ:

  • ทุก public-facing application
  • Shield Advanced: financial, gaming, critical infrastructure

Use Case ตัวอย่าง:

เว็บ gaming platform ใช้ Shield Advanced ป้องกัน DDoS attacks ที่เกิดขึ้นระหว่าง tournament ใหญ่ AWS จัดการ mitigate attack ให้อัตโนมัติ ไม่มี downtime เลย

Amazon GuardDuty

คืออะไร: Threat detection service ที่ใช้ machine learning วิเคราะห์ CloudTrail logs, VPC flow logs และ DNS logs หา suspicious activity อัตโนมัติ

ราคา:

  • $4/million CloudTrail events
  • $1/GB VPC Flow Logs
  • $0.45/GB DNS logs
  • Free Trial: 30 วัน

เหมาะสำหรับ:

  • ตรวจจับ compromised EC2 instances
  • Unusual API activity (account takeover)
  • Cryptomining detection

Use Case ตัวอย่าง:

GuardDuty แจ้งเตือนทันทีที่ EC2 instance เริ่มส่ง traffic ไปยัง known cryptomining pool ทีม security รับรู้ใน 5 นาที แทนที่จะค้นพบเองหลัง bill ขึ้นสูงในเดือนถัดไป

AWS Secrets Manager

คืออะไร: จัดการ secrets เช่น database passwords, API keys อย่างปลอดภัย พร้อม rotation อัตโนมัติ

ราคา:

  • $0.40/secret/เดือน
  • $0.05/10,000 API calls

เหมาะสำหรับ:

  • เก็บ database credentials อย่างปลอดภัย
  • API keys และ tokens
  • Rotation อัตโนมัติทุก X วัน

Use Case ตัวอย่าง:

Application ดึง database password จาก Secrets Manager แทนที่จะ hardcode ใน config file เมื่อ rotate password อัตโนมัติทุก 30 วัน ทุก application ได้ password ใหม่โดยอัตโนมัติ

AWS Certificate Manager (ACM)

คืออะไร: สร้างและจัดการ SSL/TLS certificates สำหรับ AWS services ฟรี และ renew อัตโนมัติ

ราคา:

  • Public certificates: ฟรี
  • Private CA: $400/เดือน

เหมาะสำหรับ:

  • HTTPS สำหรับ CloudFront, ALB, API Gateway
  • ไม่ต้องจัดการ certificate renewal เอง

Use Case ตัวอย่าง:

เว็บ application ใช้ ACM สำหรับ SSL certificate บน ALB ไม่เคยต้องกังวลเรื่อง certificate หมดอายุอีกเลย เพราะ ACM renew อัตโนมัติก่อนหมด 60 วัน

Amazon Inspector

คืออะไร: Automated security assessment service สำหรับ EC2, Lambda และ container images ตรวจหา vulnerabilities อัตโนมัติ

ราคา:

  • EC2 scanning: $0.11/instance/เดือน
  • Lambda: $0.30/function/เดือน
  • Container: $0.09/image scanned

เหมาะสำหรับ:

  • CVE vulnerability scanning
  • Network reachability assessment
  • DevSecOps pipeline

Use Case ตัวอย่าง:

ทีม DevSecOps integrate Inspector กับ CI/CD pipeline ทุก Docker image ที่ build จะถูก scan หา CVEs อัตโนมัติ ถ้าพบ critical vulnerability จะ block deployment ทันที